Préparer le terrain pour la sécurité Zero Trust
Au cours des dernières années, le thème de la cybersécurité s'est propagé du département informatique jusqu'à la salle du conseil d'administration. Le climat actuel d'incertitude géopolitique et économique a rendu la menace des cyberattaques encore plus prégnante, et les entreprises de toutes tailles et de tous les secteurs en ressentent les effets. Qu'il s'agisse de la menace d'une dévastatrice attaque par rançongiciel ou d'une violation de données susceptible de compromettre les informations sensibles de consommateurs, le risque est réel et potentiellement catastrophique. Les organisations prennent conscience de la nécessité d'une résilience accrue et d'une meilleure préparation en matière de cybersécurité. Pour les entreprises, il ne suffit plus de réagir aux attaques lorsqu'elles se produisent ; elles doivent intégrer à leur approche de la cybersécurité une préparation proactive à ces événements inévitables.
S'il est une approche de la sécurité qui a gagné en popularité au cours de ces dernières années, c'est l'architecture Zero Trust. Le principe de base de la sécurité Zero Trust est simple : ne jamais faire confiance, tout vérifier. La raison d'être d'une architecture Zero Trust moderne est que les modèles traditionnels de sécurité périmétrique (le « château entouré de douves ») ne sont plus suffisants dans l'environnement numériquement décentralisé d'aujourd'hui. Les entreprises doivent adopter une approche holistique de la sécurité, fondée sur la vérification de l'identité et de la fiabilité de chacun des utilisateurs, appareils et systèmes accédant à leurs réseaux et leurs données.
La sécurité Zero Trust retient l'attention des chefs d'entreprise et des membres des conseils d'administration depuis un certain temps déjà. Cependant, cette approche n'est plus seulement un concept en cours d'évaluation, mais une nécessité. À l'heure où le télétravail ou le travail hybride sont devenus la norme et le nombre de cyberattaques continue de progresser, les entreprises prennent conscience qu'elles doivent adopter une approche fondamentalement différente de la sécurité. À l'instar de tout changement important de stratégie, toutefois, la mise en œuvre peut s'avérer difficile, et les initiatives peuvent parfois stagner. Bien que de nombreuses entreprises aient commencé à déployer des méthodologies et des technologies Zero Trust, seules quelques-unes les ont pleinement mises en œuvre à l'échelle de leur organisation. Pour de nombreuses grandes entreprises, cela reflète l'état actuel de leurs initiatives Zero Trust : elles stagnent lors de la phase de mise en œuvre.
Un nouveau rôle de direction apparaît
Et s'il y existait, dans le puzzle de la cybersécurité, une pièce manquante capable de changer la donne ? C'est ici qu'intervient le rôle de « Chief Zero Trust Officer » (CZTO, directeur de la sécurité Zero Trust) : un nouveau poste dont nous pensons qu'il se répandra rapidement au sein des grandes organisations au cours de l'année à venir.
Pour les entreprises, l'idée de créer le rôle de Chief Zero Trust Officer est issue de conversations tenues l'année dernière entre les membres de l'équipe du Field CTO de Cloudflare et des agences du gouvernement fédéral américain. Une fonction similaire a été évoquée, pour la première fois, dans un mémorandum de la Maison-Blanche ordonnant aux agences fédérales « d'adopter les principes de cybersécurité Zero Trust » et exigeant qu'elles « désignent et identifient un responsable de la mise en œuvre de la stratégie Zero Trust au sein de leur organisation » dans un délai de 30 jours. Dans l'administration, un rôle tel que celui-ci est souvent appelé « tsar », mais le titre de « directeur » paraît plus approprié dans une entreprise.
Les grandes organisations ont besoin de dirigeants forts pour accomplir leur mission efficacement. Les entreprises confient la responsabilité ultime de leur supervision à des personnes dont le titre commence par le terme « directeur », à l'image du directeur général ou du directeur financier. Il incombe à ces rôles de proposer une orientation, de définir une stratégie, de prendre des décisions cruciales et de gérer les opérations quotidiennes, et les personnes qui les occupent sont souvent responsables, devant le conseil d'administration, des performances et de la réussite globales de l'organisation.
Pourquoi désigner un directeur de la sécurité Zero Trust, et pourquoi le faire maintenant ?
Comme le dit l'adage, « Si tout le monde est responsable, personne n'est responsable. » Lorsque l'on examine les défis de la mise en œuvre de la sécurité Zero Trust au sein d'une entreprise, il apparaît que le manque de direction et de responsabilité clairement établies constitue un problème important. La question demeure : qui, exactement, est responsable de l'adoption et de l'exécution de l'approche Zero Trust sein de l'organisation ?
Les grandes entreprises doivent confier à une personne unique la responsabilité de la mise en place de la sécurité Zero Trust. Ce responsable doit être investi d'un mandat clair et doit avoir une priorité unique : déployer la sécurité Zero Trust au sein de l'entreprise. C'est là qu'est née l'idée du rôle de Chief Zero Trust Officer. « Chief Zero Trust Officer » peut sembler n'être qu'un titre, mais ce rôle a, en réalité, beaucoup de poids. Il attire l'attention et a le pouvoir de relever les nombreux défis du déploiement de l'architecture Zero Trust.
Les freins à l'adoption
Le déploiement de la sécurité Zero Trust peut être grevé par différents défis technologiques. La compréhension et la mise en œuvre de l'architecture complexe de certains fournisseurs peut demander du temps, exiger une formation approfondie ou nécessiter le recours à des services professionnels, afin d'acquérir l'expertise requise. L'identification et la vérification des utilisateurs et des appareils dans un environnement Zero Trust peuvent également constituer un défi. La démarche nécessite un inventaire précis de la base d'utilisateurs de l'organisation, des groupes dont ils font partie, ainsi que des applications et appareils qu'ils utilisent.
Du point de vue organisationnel, la coordination entre les différentes équipes est cruciale pour une mise en œuvre efficace de la sécurité Zero Trust. Abattre les silos entre les groupes chargés de l'informatique, de la cybersécurité et de la connectivité réseau, établir des canaux de communication clairs et organiser des réunions régulières entre les membres de l'équipe – autant de démarches pouvant contribuer à la mise en place d'une stratégie de sécurité cohérente. La résistance générale au changement peut également constituer un obstacle considérable. Pour l'atténuer, les dirigeants doivent recourir à différentes techniques : donner l'exemple, communiquer de manière transparente et impliquer les employés dans le processus de changement. Par ailleurs, le fait de répondre proactivement aux préoccupations, de proposer une assistance et de créer des opportunités de formation destinées aux employés peut également faciliter la transition.
Responsabilité et imputabilité – quel que soit le nom que vous donnez
Mais pourquoi une organisation a-t-elle besoin d'un CZTO ? Un nouveau rôle de direction est-il essentiel ? Pourquoi ne pas désigner une personne qui gère déjà la sécurité au sein de l'organisation du RSSI ? Bien sûr, ces questions sont pertinentes. Considérez la problématique ainsi : les entreprises devraient attribuer le titre en fonction du niveau d'importance stratégique pour l'entreprise. Alors, qu'il s'agisse de Chief Zero Trust Officer (directeur de la sécurité Zero Trust), Head of Zero Trust (responsable de la sécurité Zero Trust) ou VP of Zero Trust (vice-président de la sécurité Zero Trust) ou de tout autre titre, ce rôle doit attirer l'attention et posséder le pouvoir d'abattre les silos et de réduire les formalités bureaucratiques.
Les nouveaux titres de direction ne sont pas sans précédent. Ces dernières années, nous avons assisté à l'émergence de titres tels que Chief Digital Transformation Officer (responsable de la transformation numérique), Chief eXperience Officer (responsable de l'expérience), Chief Customer Officer (responsable de la clientèle) et Chief Data Scientist (expert en science des données). Le titre de Chief Zero Trust Officer n'est probablement même pas un rôle permanent. Ce qui est essentiel, en revanche, c'est que la personne occupant ce poste possède l'autorité et la vision indispensables pour faire progresser l'initiative Zero Trust, avec le soutien de la direction de l'entreprise et du conseil d'administration.
Déployer la sécurité Zero Trust en 2023
Le déploiement de la sécurité Zero Trust est désormais une obligation pour de nombreuses entreprises, car le modèle traditionnel de sécurité périmétrique ne suffit plus pour les protéger contre les menaces sophistiquées d'aujourd'hui. Pour aider l'entreprise à s'orienter face aux défis techniques et organisationnels que comporte la mise en œuvre de la sécurité Zero Trust, la supervision d'un CZTO est cruciale. Le CZTO dirigera l'initiative Zero Trust, alignera les équipes et surmontera les obstacles afin d'assurer un déploiement fluide. Le rôle du CZTO au sein de la direction souligne l'importance de la sécurité Zero Trust dans l'entreprise. C'est à lui d'assurer que l'initiative Zero Trust bénéficie de l'attention et des ressources nécessaires au succès de sa mise en œuvre. Les organisations qui désignent aujourd'hui un CZTO sont celles qui s'imposeront à l'avenir.
Cloudflare One pour la sécurité Zero Trust
Cloudflare One est la plateforme Zero Trust de Cloudflare. Facile à déployer, elle s'intègre avec fluidité aux outils et fournisseurs existants. Elle est fondée sur le principe de la sécurité Zero Trust, et fournit aux organisations une solution de sécurité exhaustive, capable de fonctionner à l'échelle mondiale. Cloudflare One est déployée sur le réseau mondial de Cloudflare ; la solution offre donc un fonctionnement transparent dans différents pays et régions géographiques, avec une multitude de fournisseurs de réseaux et d'appareils. La présence mondiale colossale de Cloudflare assure que le trafic est sécurisé, acheminé et filtré sur un réseau d'infrastructure optimisé, qui utilise des informations en temps réel sur Internet pour offrir une protection contre les menaces les plus récentes et acheminer le trafic en contournant les perturbations et les pannes d'Internet. En outre, Cloudflare One s'intègre aux meilleures solutions de gestion des identités et de sécurité pour points de terminaison, créant une solution complète qui englobe l'intégralité du réseau d'entreprise d'aujourd'hui et de demain. Si vous souhaitez en savoir plus, dites-le-nous ici, et nous prendrons contact avec vous.
Vous préférez éviter de parler à quelqu'un pour l'instant ? Pratiquement toutes les fonctionnalités de Cloudflare One sont disponibles gratuitement pour 50 utilisateurs maximum. Bon nombre de nos plus grands clients entreprises commencent par explorer eux-mêmes nos produits Zero Trust dans le cadre de notre offre gratuite ; nous vous invitons à en faire autant en suivant ce lien.
Vous faites appel à un autre fournisseur Zero Trust ?
Les experts de la sécurité de Cloudflare ont élaboré une feuille de route indépendante des fournisseurs pour le déploiement d'une architecture Zero Trust, ainsi qu'un exemple de calendrier de mise en œuvre. Le site web The Zero Trust Roadmap (https://zerotrustroadmap.org/ propose une excellente ressource pour les organisations qui souhaitent s'informer sur les avantages et les bonnes pratiques en matière de mise en œuvre de la sécurité Zero Trust. Et si vous vous sentez bloqué dans votre parcours d'adoption de la sécurité Zero Trust, suggérez à votre Chief Zero Trust Officer d'appeler Cloudflare !